最近，明朝萬達(dá)安院實(shí)驗(yàn)室于2021年發(fā)布了8期《安全通告》。

該份報(bào)告收錄了今年8月最新的網(wǎng)絡(luò)安全前沿新聞和最新漏洞追蹤，其中重點(diǎn)內(nèi)容包括：

網(wǎng)絡(luò)安全 前沿新聞

? 黑客公開電子藝界 EA 的數(shù)據(jù)，包括 FIFA 21 游戲源碼

7 月 26 日星期一，黑客在暗網(wǎng)公開電子藝界 EA 的數(shù)據(jù)，包括 FIFA 21 游戲源碼、FrostBite 游戲引擎和調(diào)試工具源代碼等信息。該事件最初于 6 月 10 日披露，當(dāng)時(shí)黑客聲稱竊取了該公司 780GB 的數(shù)據(jù)，并愿意以 2800 萬美元的價(jià)格出售。但因?yàn)楸槐I數(shù)據(jù)大多是源代碼對(duì)網(wǎng)絡(luò)犯罪團(tuán)伙來說沒有任何價(jià)值，因此并未找到買家。之后黑客試圖勒索EA，在 7 月 14 日發(fā)布了 1.3GB 的 FIFA 源代碼作為樣本，并在 2 周后公開了全部數(shù)據(jù)。

? 研究團(tuán)隊(duì)稱 DarkSide 或以 BlackMatter 之名重新回歸

研究團(tuán)隊(duì)稱勒索團(tuán)伙DarkSide可能已重新命名為新的BlackMatter重新回歸。

DarkSide在攻擊美國最大的燃料管道 Colonial Pipeline 后，于今年 5 月突然關(guān)閉。上周，研究人員發(fā)現(xiàn)新的勒索軟件 BlackMatter。分析發(fā)現(xiàn)，二者使用的加密程序幾乎相同，包括 DarkSide所特有的自定義 Salsa20 矩陣。此外，二者都使用了 DarkSide 獨(dú)有的 RSA-1024 實(shí)現(xiàn)、采用了相同的加密算法并且數(shù)據(jù)泄露網(wǎng)站都使用了類似的語言。

? RansomEXX 團(tuán)伙聲稱已竊取奢侈品牌 Zegna 超過 20GB 數(shù)據(jù)

勒索團(tuán)伙 RansomEXX 近期聲稱已竊取奢侈品牌 Zegna 超過 20GB 數(shù)據(jù)。

Zegna 是意大利最著名的奢侈時(shí)裝品牌之一，是全球收入最高的男裝品牌。RansomEXX 稱已從該公司竊取了 20.74GB 的數(shù)據(jù)，并發(fā)布了 43 個(gè)文件（42 個(gè) 500MB 的文件和 1 個(gè) 239.54MB 的文件）作為樣本。近期，RansomEXX 團(tuán)伙曾感染了意大利拉齊奧大區(qū)的系統(tǒng)，并攻擊了中國臺(tái)灣的計(jì)算機(jī)硬件制造商技嘉（GIGABYTE）。

? Kaspersky 發(fā)布 2021 年 Q2 垃圾郵件和釣魚活動(dòng)的報(bào)告

Kaspersky發(fā)布了有關(guān)2021年Q2垃圾郵件和釣魚活動(dòng)的分析報(bào)告。2021年Q2，企業(yè)賬戶仍然是攻擊者的主要目標(biāo)之一。

為了增加釣魚郵件中鏈接的可信度，攻擊者偽裝稱來自云服務(wù)的郵件，例如MicrosoftTeams會(huì)議的通知等。垃圾郵件數(shù)量的占比在3月份觸底（45.10%）后，在4月份小幅上升（45.29%），到6月（48.03%）與2020年Q4相當(dāng)。垃圾郵件來源最多的國家為俄羅斯（26.07%），其次是德國（13.97%）和美國（11.24%）。最常見的惡意附件是Badun家族（7.09%）。

? 新加坡房地產(chǎn)公司OrangeTee遭到ALTDOS的勒索攻擊

8月6日，新加坡房地產(chǎn)公司OrangeTeeGroup在其官網(wǎng)上發(fā)布聲明稱其遭到了攻擊。

8月12日，黑客團(tuán)伙ALTDOS聲稱它們自2021年6月以來，一直在竊取該公司的數(shù)據(jù)，現(xiàn)已獲得了來自ACSystem、NewOrangeTee、OT_Analytics、OT_Leave和ProjInfoListing的969個(gè)數(shù)據(jù)庫。

同日，OrangeTee公司表示其不會(huì)支付贖金。

? CISA發(fā)布近期與重大自然災(zāi)害有關(guān)攻擊活動(dòng)的警報(bào)

CISA發(fā)布了有關(guān)近期與重大自然災(zāi)害有關(guān)攻擊活動(dòng)的警報(bào)。該警報(bào)指出，在重大自然災(zāi)害之后，包含惡意鏈接或附件欺詐性電子郵件通常會(huì)很常見。組織和個(gè)人在處理帶有與颶風(fēng)相關(guān)主題、附件或超鏈接的電子郵件時(shí)需要小心謹(jǐn)慎。此外，還要警惕與惡劣天氣事件相關(guān)的社交媒體請(qǐng)求、文本或線下活動(dòng)。

? CiscoTalos發(fā)布2021年Q2事件響應(yīng)的威脅報(bào)告

CiscoTalos發(fā)布了2021年Q2事件響應(yīng)的威脅報(bào)告。報(bào)告指出，上一季度，勒索軟件首次不再占據(jù)主要位置，推測(cè)這可能是由MicrosoftExchange漏洞利用活動(dòng)的大幅增加導(dǎo)致的。之后，勒索軟件攻擊在本季度激增，占所有事件的近一半（46%），又成為最大的威脅。其中，主要的勒索軟件包括REvil、Conti、WastedLocker和Darkside等。此外，與上一季度相比，本季度的安全檢測(cè)繞過技術(shù)的使用有所增加。

? 微軟PowerApps網(wǎng)站因配置錯(cuò)誤泄露3800萬條記錄

UpGuardResearch于8月23日本周一稱微軟的PowerApps門戶網(wǎng)站因配置錯(cuò)誤泄露47個(gè)組織的3800萬條記錄。

PowerApps是一系列應(yīng)用、服務(wù)、連接器和數(shù)據(jù)平臺(tái)，可提供快速的應(yīng)用開發(fā)環(huán)境。UpGuard稱，數(shù)據(jù)泄露與PowerApps平臺(tái)如何使用開放數(shù)據(jù)協(xié)議(OData)及其APIs有關(guān)。此次事件涉及了印第安納州、馬里蘭州和紐約市等政府的組織,以及美國航空公司、JBHunt和微軟等公司。

? Area1Security發(fā)布2021年電子郵件威脅態(tài)勢(shì)的報(bào)告

Area1Security發(fā)布了2021年電子郵件威脅態(tài)勢(shì)的分析報(bào)告。該報(bào)告分析了跨多個(gè)組織和行業(yè)的超過3100萬個(gè)威脅，發(fā)現(xiàn)近9%的攻擊使用了身份欺騙策略；被冒充最多的品牌包括世界衛(wèi)生組織(WHO)、谷歌和微軟；BEC攻擊的占比很低(1.3%），但是造成的經(jīng)濟(jì)損失最大，平均損失為150萬美元；超過92%的用戶報(bào)告的釣魚郵件屬于誤報(bào)的良性郵件，導(dǎo)致IT團(tuán)隊(duì)需要處理大量的誤報(bào)。

? Unit42發(fā)布有關(guān)4個(gè)新的勒索運(yùn)營團(tuán)伙的分析報(bào)告

Unit42在2021年8月24日發(fā)布了有關(guān)4個(gè)新的勒索運(yùn)營團(tuán)伙的分析報(bào)告。這四個(gè)勒索團(tuán)伙分別為6月下旬開始運(yùn)營的AvosLockerRaaS，主要針對(duì)美國、英國、阿聯(lián)酋、比利時(shí)、西班牙和黎巴嫩，贖金從50000美元到75000美元不等；6月開始的Hive Ransomware，已攻擊了28個(gè)組織；7月開始活躍的Linux版本HelloKitty，其首選目標(biāo)為VMware的ESXi管理程序；以及在6月經(jīng)過改造的LockBi，已經(jīng)攻擊了52個(gè)組織。

網(wǎng)絡(luò)安全 最新漏洞追蹤

? 微軟 8 月份月度安全漏洞預(yù)警

近日，微軟發(fā)布 2021 年 8 月份安全補(bǔ)丁更新，共披露了 44 個(gè)安全漏洞，其中 7 個(gè)漏洞標(biāo)記為嚴(yán)重漏洞。攻擊者利用漏洞可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行、權(quán)限提升、敏感信息泄露等。受影響的應(yīng)用包括：Microsoft Windows、TCP/IP 、Remote Desktop Client、Microsoft Office等組件。

漏洞級(jí)別：【嚴(yán)重】

說明：漏洞級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急

影響范圍

Microsoft Windows、TCP/IP 、Remote Desktop Client、Microsoft Office 等產(chǎn)品。

重要漏洞說明詳情

安全建議

1、可通過 Windows Update 自動(dòng)更新微軟補(bǔ)丁修復(fù)漏洞，也可以手動(dòng)下載補(bǔ)丁，補(bǔ) 丁下載地址：

2、為確保數(shù)據(jù)安全，建議重要業(yè)務(wù)數(shù)據(jù)進(jìn)行異地備份。

? Apache OFBiz 任意文件上傳漏洞預(yù)警 (CVE-2021-37608)

近日，華為云關(guān)注到 Apache OFBiz 官方發(fā)布安全公告，披露在 17.12.08 之前的版本中存在任意文件上傳漏洞（CVE-2021-37608），由于 OFBiz 圖像管理模塊（Image Management）對(duì)文件擴(kuò)展名校驗(yàn)的不嚴(yán)謹(jǐn)導(dǎo)致遠(yuǎn)程攻擊者通過發(fā)送特制的請(qǐng)求包，利用漏洞上傳惡意腳本，進(jìn)而實(shí)現(xiàn)在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

Apache OFBiz 是一個(gè)開源的企業(yè)資源計(jì)劃（ERP）系統(tǒng)，華為云提醒使用 Apache OFBiz的用戶及時(shí)安排自檢并做好安全加固。

威脅級(jí)別：【嚴(yán)重】

漏洞影響范圍

影響版本：Apache OFBiz < 17.12.08

安全版本：Apache OFBiz 17.12.08

漏洞處置

目前官方已在新版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶及時(shí)升級(jí)至安全版本：下載地址：

或下載補(bǔ)丁進(jìn)行修復(fù)：

? SonicWall Analytics 遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警

近日，華為云關(guān)注到 SonicWall 官方發(fā)布 SonicWall Analytics 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-20032）安全公告。在特定版本的SonicWall Analytics 2.5 On-Prem中，由于JDWP服務(wù)端口的安全配置錯(cuò)誤，導(dǎo)致未經(jīng)身份驗(yàn)證的攻擊者利用漏洞可遠(yuǎn)程在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

SonicWall Analytics 是一種功能強(qiáng)大的智能驅(qū)動(dòng)分析服務(wù)。華為云提醒使用 SonicWall Analytics 的用戶及時(shí)安排自檢并做好安全加固以降低安全風(fēng)險(xiǎn)。

參考鏈接：

威脅級(jí)別：【嚴(yán)重】

漏洞影響范圍

影響版本：SonicWall Analytics On-Prem <= 2.5.2518

安全版本：SonicWall Analytics on-prem >= 2.5.2519

安全建議

目前官方已在高版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)至安全版本。下載地址：

如果受影響的用戶無法及時(shí)升級(jí)，可參考 SonicWall 官方提供的建議，在受影響版本 的 JDWP 服務(wù)默認(rèn)端口 9000/TCP 上配置安全組訪問。

? 關(guān)于 Xstream 多個(gè)高危漏洞預(yù)警

近日，華為云關(guān)注到 Xstream 官方發(fā)布安全更新公告，披露在 1.4.18 之前的版本中存在多處高危漏洞。遠(yuǎn)程攻擊者利用漏洞可造成任意代碼執(zhí)行、拒絕服務(wù)攻擊、SSRF 跨 站請(qǐng)求偽造等危害。

XStream 是 Java 類庫，用來將對(duì)象序列化成 XML（JSON）或反序列化為對(duì)象。華為 云提醒使用 XStream 的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

CVE-2021-39139 XStream 易受任意代碼執(zhí)行攻擊

CVE-2021-39140 XStream 易受拒絕服務(wù)攻擊

CVE-2021-39141 XStream 易受任意代碼執(zhí)行攻擊

CVE-2021-39144 XStream 易受遠(yuǎn)程命令執(zhí)行攻擊

CVE-2021-39145 XStream 易受任意代碼執(zhí)行攻擊

CVE-2021-39146 XStream 易受任意代碼執(zhí)行攻擊

CVE-2021-39147 XStream 易受任意代碼執(zhí)行攻擊

CVE-2021-39148 XStream 易受任意代碼執(zhí)行攻擊

CVE-2021-39149 XStream 易受任意代碼執(zhí)行攻擊

CVE-2021-39150 可以使用 XStream 激活服務(wù)器端偽造請(qǐng)求，以從引用內(nèi)部網(wǎng)或本地主機(jī)中資源的任意 URL 訪問數(shù)據(jù)流

CVE-2021-39151 XStream 易受任意代碼執(zhí)行攻擊

CVE-2021-39152 可以使用 XStream 激活服務(wù)器端偽造請(qǐng)求，以從引用內(nèi)部網(wǎng)或本地

主機(jī)中資源的任意 URL 訪問數(shù)據(jù)流

CVE-2021-39153 XStream 易受任意代碼執(zhí)行攻擊

CVE-2021-39154 XStream 易受任意代碼執(zhí)行攻擊

威脅級(jí)別：【嚴(yán)重】

漏洞影響范圍

影響版本：

XStream < 1.4.18

安全版本：

XStream 1.4.18

安全建議

目前官方已在高版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)至安全版本：

? OpenSSL 緩沖區(qū)溢出漏洞預(yù)警（CVE-2021-3711）

近日，華為云關(guān)注到 OpenSSL 官方發(fā)布安全公告，披露在特定版本中存在兩處緩沖區(qū)溢出漏洞（CVE-2021-3711、CVE-2021-3712）。其中 CVE-2021-3711 高危，遠(yuǎn)程攻擊者 通過發(fā)送特制的 SM2 內(nèi)容，可能會(huì)改變應(yīng)用程序行為或?qū)е聭?yīng)用程序崩潰。

OpenSSL 是一個(gè)開放源代碼的軟件庫包，應(yīng)用程序可以使用這個(gè)包來進(jìn)行安全通信，避免竊聽，同時(shí)確認(rèn)另一端連接者的身份。這個(gè)包廣泛被應(yīng)用在互聯(lián)網(wǎng)的網(wǎng)頁服務(wù)器上。華為云提醒使用 OpenSSL 的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

威脅級(jí)別：【嚴(yán)重】

漏洞影響范圍

影響版本：

CVE-2021-3711：

OpenSSL <= 1.1.1k

CVE-2021-3712：

OpenSSL <= 1.1.1k

OpenSSL <= 1.0.2y

安全版本：

CVE-2021-3711：

OpenSSL >= 1.1.1l

CVE-2021-3712：

OpenSSL >= 1.1.1l

OpenSSL >= 1.0.2za

安全建議

目前官方已在高版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)至安全版本：

? Atlassian Confluence 遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警（CVE-2021-26084）

近日，華為云關(guān)注到 Atlassian 官方發(fā)布安全公告，披露旗下產(chǎn)品 Confluence Server、Confluence Data Center 在特定版本中存在一處遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-26084）。經(jīng)過身份驗(yàn)證的攻擊者（在某些情況下未經(jīng)身份驗(yàn)證的攻擊者）通過構(gòu)造惡意請(qǐng)求，造成OGNL 注入，實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

Atlassian Confluence 是一個(gè)專業(yè)的企業(yè)知識(shí)管理與協(xié)同軟件，可用于構(gòu)建企業(yè) wiki。華為云提醒使用 Atlassian Confluence 的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

威脅級(jí)別：【嚴(yán)重】

漏洞影響范圍

影響版本：

Atlassian Confluence Server/Data Center < 6.13.23

Atlassian Confluence Server/Data Center < 7.4.11

Atlassian Confluence Server/Data Center < 7.11.6

Atlassian Confluence Server/Data Center < 7.12.5

Atlassian Confluence Server/Data Center < 7.13.0

安全版本：

Atlassian Confluence Server/Data Center 6.13.23

Atlassian Confluence Server/Data Center 7.4.11

Atlassian Confluence Server/Data Center 7.11.6

Atlassian Confluence Server/Data Center 7.12.5

Atlassian Confluence Server/Data Center 7.13.0

安全建議

目前官方已在高版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)至安全版本。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試

【持續(xù)關(guān)注網(wǎng)絡(luò)安全，更多相關(guān)資訊敬請(qǐng)關(guān)注“明朝萬達(dá)”】